Die automatische Angriffsunterbrechung nutzt hierfür Signale aus den Microsoft-365-Defender-Workloads wie Identitäten, Endpunkte, E-Mail und Software-as-a-Service-Anwendungen, um fortgeschrittene Angriffe zu unterbrechen. Wird der Beginn einer händisch durchgeführten Attacke auf einem einzelnen Gerät erkannt, soll die Angriffsunterbrechung die Kampagne auf diesem Gerät stoppen und gleichzeitig alle anderen Geräte im Unternehmen schützen.

Hierfür würden kompromittierte Benutzer auf den Devices eingedämmt und die Angreifer so ausmanövriert, bevor sie die Möglichkeit haben, Konten zu nutzen, um sich lateral fortzubewegen, Anmeldedaten zu stehlen oder Daten zu exfiltrieren und zu verschlüsseln. Diese standardmäßig aktivierte Funktion erkennt laut Microsoft dabei, ob der kompromittierte User mit einem anderen Endpunkt in Verbindung steht, und unterbricht die ein- und ausgehende Kommunikation.

Selbst wenn ein Benutzer über die höchste Berechtigungsstufe verfügt und sich normalerweise außerhalb des Bereichs einer Sicherheitskontrolle befindet, würde der Angreifer dennoch am Zugriff auf die Geräte im Unternehmen gehindert. Derzeit befindet sich das Feature in einer öffentlichen Preview für Kunden mit Microsoft Defender for Endpoint Plan 2 und Defender for Business Standalone.